Seznam objektů k sesbírání

V této kapitole uvádíme popis souborů, které naleznete ve výsledném .zip archivu. Popis je rozdělen do několika sekcí, v závislosti na typu sesbíraných dat.

Umístění / Název souboru

Popis

metadata.txt

Obsahuje informace o čase vytvoření .zip archivu, verzi ESET Log Collector, bezpečnostního produktu ESET a základní informace o licenci.

collector_log.txt

Kopie textového protokolu, ve kterém jsou uvedeny informace o provedených akcích (od spuštění sběru dat až po vytvoření .zip archivu).

Procesy Windows

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Běžící procesy

(otevřené popisovače a načtené DLL)

Windows\Processes\Processes.txt

Textový soubor obsahující seznam běžících procesů na daném počítači. U každého procesu jsou uvedeny následující informace:

PID

PID nadřazeného procesu

Počet vláken

Počet otevřených popisovačů seskupených podle typu

Načtené moduly

Uživatelský účet, pod kterým je proces spuštěn

Využití paměti

Časové razítko startu

Čas uživatele a jádra

I/O statistiky

Příkazový řádek

Běžící procesy

(otevřené popisovače a načtené DLL)

Windows\ProcessesTree.txt

Textový soubor obsahující seznam běžících procesů na daném počítači. U každého procesu jsou uvedeny následující informace:

PID

Uživatelský účet, pod kterým je proces spuštěn

Časové razítko startu

Příkazový řádek

Protokoly Windows

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Protokol událostí aplikací

Windows\Logs\Application.xml

Protokoly událostí aplikací Windows ve upraveném formátu XML. Záznamy jsou pouze za posledních 30 dní.

Protokol událostí systému

Windows\Logs\System.xml

Protokoly událostí systému Windows v upraveném formátu XML. Záznamy jsou pouze za posledních 30 dní.

Terminálové služby – LSM protokol událostí*

Windows\Logs\LocalSessionManager-Operational.evtx

Protokol událostí ve Windows obsahuje informace o RDP relacích.

Protokoly z instalace ovladačů

Windows\Logs\catroot2_dberr.txt

Obsahuje informace o katalogu, který byl v průběhu instalace ovladače přidán do "catstore".

SetupAPI protokoly*

Windows\Logs\SetupAPI\setupapi*.log

Textové protokoly z instalace zařízení a aplikací.

Protokol událostí aktivit WMI

Windows\Logs\WMI-Activity.evtx

Protokol událostí systému Windows obsahující data trasování aktivity WMI. Záznamy jsou pouze za posledních 30 dní.

Protokol událostí aplikací

Windows\Logs\Application.evtx

Soubor protokolů událostí aplikací Windows. Záznamy jsou pouze za posledních 30 dní.

Protokol událostí systému

Windows\Logs\System.evtx

Soubor protokolů událostí systému Windows. Záznamy jsou pouze za posledních 30 dní.

Obsah klíče registru služeb

 

 

Windows\Services.reg

Obsahuje registrační klíče KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services. Získání klíče je užitečné v případě problémů s ovladači.

*) Platí pro Windows Vista a novější

Nastavení systému

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Informace o jednotkách

Windows\drives.txt

Windows\volumes.txt

Textový soubor obsahující informace o připojených discích a jednotkách.

Informace o zařízení

Windows/devices/*.txt

Více textových souborů obsahující informace o třídách a rozhraních jednotlivých zařízení.

Nastavení sítě

Config\network.txt

Textový soubor obsahující informace o konfiguraci sítě. (Výstup příkazu ipconfig /all)

ESET SysInspector protokol

Config\SysInspector.xml

Protokol z aplikace SysInspector ve formátu XML.

Winsock LSP katalog

Config\WinsockLSP.txt

Výstup příkazu netsh winsock show catalog.

WFP filtry*

Config\WFPFilters.xml

Obsah konfigurace WFP filtrů v XML formátu.

Kompletní obsah registru Windows

Windows\Registry\*

Binární soubory obsahující data z registru Windows.

Seznam souborů v dočasných složkách

Windows\TmpDirs\*.txt

Více textových souborů se seznamem souborů v uživatelských dočasných adresářích %windir%/temp, %TEMP% a %TMP%.

Naplánované úlohy Windows

Windows\Scheduled Tasks\*.*

V několika xml souborech naleznete všechny úlohy z Plánovače úloh systému Windows, což vám může pomoci odhalit škodlivý kód, který zneužívá Plánovač úloh. Protože jsou soubory umístěny v podsložkách, je shromažďována celá struktura.

WMI repozitář

Windows\WMI Repository\*.*

V několika binárních souborech naleznete data databáze WMI (meta-informace, definice a statická data tříd WMI). Shromáždění těchto souborů vám může pomoci při identifikaci škodlivého kódu, který používá WMI v rámci zajištění perzistence v systému (například Turla). Protože mohou být soubory WMI umístěny v podsložkách, je shromažďována celá struktura.

Role a funkce Windows Server

Windows\server_features.txt

Textový soubor obsahující strom všech funkcí Windows Server. U každé funkce jsou uvedeny následující informace:

Instalovaný stav

Lokalizovaný název

Kódové jméno

Stav (dostupné u Microsoft Windows Server 2012 a novějších)

*) Platí pro Windows 7 a novější

Instalátor ESET

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Protokoly instalačního balíčku ESET

ESET\Installer\*.log

Instalační protokoly vytvořené automaticky při instalaci produktu ESET (ESET NOD32 Antivirus, ESET Smart Security, ESET Smart Security Premium).

ESET Remote Administrator

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Protokoly EP/ESMC/ERA Serveru

ERA\Server\Logs\RemoteAdministratorServerDiagnostic<datetime>.zip

Vytvoří v archivu složku s protokoly serveru. Obsahuje trace, status a last-error protokoly.

Protokoly EP/ESMC/ERA Agenta

ERA\Agent\Logs\RemoteAdministratorAgentDiagnostic<datetime>.zip

Vytvoří v archivu složku s protokoly agenta. Obsahuje trace, status a last-error protokoly.

informace a výpisy procesu EP/ESMC/ERA komponent*

ERA\Server\Process and old dump\RemoteAdministratorServerDiagnostic<datetime>.zip

Vytvoří dumpy serveru.

informace a výpisy procesu EP/ESMC/ERA komponent*

ERA\Agent\Process and old dump\RemoteAdministratorAgentDiagnostic<datetime>.zip

Vytvoří dumpy agenta.

Konfigurace EP/ESMC/ERA

ERA\Server\Config\RemoteAdministratorServerDiagnostic<datetime>.zip

Do archivu přidá aplikační informace a konfiguraci serveru.

Konfigurace EP/ESMC/ERA

ERA\Agent\Config\RemoteAdministratorAgentDiagnostic<datetime>.zip

Do archivu přidá aplikační informace a konfiguraci agenta.

Protokoly ESET Rogue Detection Sensor

ERA\RD Sensor\Rogue Detection SensorDiagnostic<datetime>.zip

Do archivu přidá trace log, last-error log, status log, konfiguraci, dump a informační soubory RD Sensoru.

Protokoly EP/ESMC/ERA MDMCore

ERA\MDMCore\RemoteAdministratorMDMCoreDiagnostic<datetime>.zip

Do archivu přidá trace log, last-error log, status log, konfiguraci, dump a informační soubory MDMCore.

Protokoly ERA Proxy

ERA\Proxy\RemoteAdministratorProxyDiagnostic<datetime>.zip

Do archivu přidá trace log, last-error log, status log, konfiguraci, dump a informační soubory ERA Proxy.

Databáze ESET Management Agenta

ERA\Agent\Database\data.db

Databázový soubor ESET Management Agenta.

Konfigurace Apache Tomcat

ERA\Apache\Tomcat\conf\*.*

Konfigurační soubory Apache Tomcat, obsahuje rovněž kopii souboru server.xml bez citlivých informací.

Protokoly Apache Tomcat

ERA\Apache\Tomcat\logs\*.log

ERA\Apache\Tomcat\EraAppData\logs\*.log

ERA\Apache\Tomcat\EraAppData\WebConsole\*.log

Protokoly Apache Tomcat v textové podobě nacházející se v instalační složce Apache Tomcat nebo složce s aplikací. Obsahuje rovněž protokoly Web Console.

Konfigurace Apache HTTP Proxy

ERA\Apache\Proxy\conf\httpd.conf

Konfigurační soubor Apache HTTP Proxy.

Protokoly Apache HTTP Proxy

ERA\Apache\Proxy\logs\*.log

Protokoly Apache HTTP Proxy v textové podobě.

*EP/ESMC/ERA Server nebo ESET Management Agent

Nastavení produktu ESET

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Nastavení produktu ESET

info.xml

XML soubor obsahující základní informace o nainstalovaném produktu ESET. Obsahuje základní informace o systému, licenci a použitých modulech.

Nastavení produktu ESET

versions.csv

Soubor je od verze 4.0.3.0 sesbírán vždy (bez dalších závislostí). Obsahuje informace o nainstalovaném produktu. Soubor versions.csv se sesbírá pouze v případě, že se vykytuje v adresáři ESET AppData.

Nastavení produktu ESET

features_state.txt

Informace o funkcích produktu a jejich stavech (aktivní, neaktivní, neintegrováno). Soubor je sesbírán vždy, bez ohledu na vybraný objekt.

Nastavení produktu ESET

Configuration\product_conf.xml

Exportovaná konfigurace produktu ve formátu XML.

Seznam souborů v datových a instalačních složkách produktu ESET

ESET\Config\data_dir_list.txt

Textový soubor obsahující seznam souborů ve složce ESET AppData a podsložkách.

Seznam souborů v datových a instalačních složkách produktu ESET

ESET\Config\install_dir_list.txt

Textový soubor obsahující seznam souborů ve složce ESET Install a podsložkách.

ESET ovladače

ESET\Config\drivers.txt

Informace o nainstalovaných ESET ovladačích.

Nastavení ESET Personálního firewallu

ESET\Config\EpfwUser.dat

Kopie souboru s konfigurací ESET Personálního firewallu.

Klíče registru produktu ESET

ESET\Config\ESET.reg

Obsah klíče HKLM\SOFTWARE\ESET

Winsock LSP katalog

Config/WinsockLSP.txt

Výstup příkazu netsh winsock show catalog.

Naposledy aplikovaná politika

ESET\Config\lastPolicy.dat

Politika aplikovaná z EP/ESMC/ERA.

ESET komponenty

ESET\Config\msi_features.txt

Sesbírané informace o komponentách instalátoruMSI dostupného produktu ESET.

Konfigurace HIPS

ESET\Config\HipsRules.bin

Data o HIPS pravidlech.

Konfigurace Strážce sítě

ESET\Config\homenet.dat

Data monitorování domácí sítě.

Karanténa

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Informace o souborech v karanténě

ESET\Quarantine\quar_info.txt

Textový soubor obsahující seznam objektů v karanténě.

Malé soubory v karanténě (< 250KB)

ESET\Quarantine\*.*(< 250KB)

Soubory umístěné v karanténě menší než 250 KB.

Velké soubory v karanténě (> 250KB)

ESET\Quarantine\*.*(> 250KB)

Soubory umístěné v karanténě větší než 250 KB.

Protokoly produktu ESET

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Protokol událostí produktu ESET

ESET\Logs\Common\warnlog.dat

Protokol událostí produktu ESET v binárním formátu.

Protokol zachycených hrozeb

ESET\Logs\Common\virlog.dat

Protokol zachycených hrozeb produktu ESET v binárním formátu.

Protokol provedených volitelných kontrol

ESET\Logs\Common\eScan\*.dat

Protokol provedených volitelných kontrol produktem ESET v binárním formátu.

Protokol modulu HIPS*

ESET\Logs\Common\hipslog.dat

Protokol modulu HIPS produktu ESET v binárním formátu.

Protokol rodičovské kontroly*

ESET\Logs\Common\parentallog.dat

Protokol rodičovské kontroly produktu ESET v binárním formátu.

Protokol správy zařízení*

ESET\Logs\Common\devctrllog.dat

Protokol modulu správa zařízení produktu ESET v binárním formátu.

Protokol ochrany webkamery*

ESET\Logs\Common\webcamlog.dat

Protokol modulu ochrana webkamery produktu ESET v binárním formátu.

Protokol Ochrany bankovnictví a online plateb

ESET\Logs\Common\bpplog.dat

Protokol modulu Ochrana bankovnictví a online plateb produktu ESET v binárním formátu.

Protokol provedených volitelných kontrol databáze

ESET\Logs\Common\ServerOnDemand\*.dat

Protokol provedených volitelných kontrol produktem ESET v binárním formátu.

Protokoly Hyper-V kontroly

ESET\Logs\Common\HyperVOnDemand\*.dat

Protokol provedených volitelných kontrol produktem ESET v binárním formátu.

Protokol OneDrive kontrol

ESET\Logs\Common\O365OnDemand\*.dat

Protokol provedených OneDrive kontrol produktem ESET v binárním formátu.

Protokol zablokovaných souborů

ESET\Logs\Common\blocked.dat

Protokol zablokovaných souborů produktem ESET v binárním formátu.

Protokol odeslaných souborů

ESET\Logs\Common\sent.dat

Protokol odeslaných souborů produktem ESET v binárním formátu.

ESET Audit log

ESET\Logs\Common\audit.dat

ESET Audit log v binárním formátu.

*Tato možnost je dostupná pouze v případě, kdy daný soubor existuje.

Protokoly síťové ochrany produktu ESET

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Protokol síťové ochrany*

ESET\Logs\Net\epfwlog.dat

Protokol síťové ochrany produktu ESET v binárním formátu.

Protokol filtrovaných webových stránek*

ESET\Logs\Net\urllog.dat

Protokol filtrovaných webových stránek v binárním formátu.

Protokol filtrování obsahu webu*

ESET\Logs\Net\webctllog.dat

Protokol modulu filtrování obsahu webu v binárním formátu.

ESET pcap protokoly

ESET\Logs\Net\EsetProxy*.pcapng

Kopie ESET pcap protokolů.

*Tato možnost je dostupná pouze v případě, kdy daný soubor existuje.

ESET diagnostika

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Databáze lokální cache

ESET\Diagnostics\local.db

Databáze kontrolovaných souborů.

Obecné diagnostické protokoly produktu

ESET\Diagnostics\*.*

Soubory (mini dumpy) z diagnostické složky produktu ESET.

Diagnostické protokoly ECP

ESET\Diagnostics\ECP\*.xml

Diagnostické protokoly ESET Communication Protocol generované v případě problémů s aktivací produktu zachycující komunikaci s aktivačními servery.

Diagnostické protokoly EPNS

ESET\Diagnostics\*.*

Diagnostické protokoly služby push notifikací generované v případě problémů.

Aktualizace

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Protokoly aktualizace produktu

C:\ProgramData\ESET\ESET Security\MicroPcu

Exportovaná konfigurace produktu ve formátu XML.

ESET Secure Authentication

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

ESA protokoly

ESA\*.log

Exportované protokoly ESET Secure Authentication.

ESET Inspect

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Protokoly EI Serveru

ESET\Inspect Server\Logs\*.log

Textové protokoly produktu Inspect Server.

Protokoly EI Agenta

ESET\Inspect Connector\Logs\*.log

Textové protokoly produktu Inspect Connector.

Konfigurace EI serveru

ESET\Inspect Server\\eiserver.ini

Soubor .ini obsahující konfiguraci produktu Inspect Server.

Konfigurace EI Connector

ESET\Inspect Connector\eiconnector.ini

Soubor .ini obsahující konfiguraci produktu Inspect Connector.

Politika EI Serveru

ESET\Inspect Server\eiserver.policy.ini

Soubor .ini obsahující politiku produktu Inspect Server.

Politika EI Agenta

ESET\Inspect Connector\eiconnector.policy.ini

Soubor .ini obsahující politiku produktu Inspect Connector.

Certifikáty EI Serveru

ESET\Inspect Server\Certificates\*.*

Obsahuje certifikáty používané produktem Inspect Server. Protože jsou soubory umístěny v podsložkách, je shromažďována celá struktura.

Certifikáty EI Connector

ESET\Inspect Connector\Certificates\*.*

Obsahuje certifikáty používané produktem Inspect Connector. Protože jsou soubory umístěny v podsložkách, je shromažďována celá struktura.

Dumpy EI Serveru

ESET\Inspect Server\Diagnostics\*.*

Dump soubory produktu Inspect Server.

Konfigurace MySQL Serveru

ESET\Inspect Server\My SQL\my.ini

Soubor .ini obsahující nastavení MySQL Serveru používaného ESET Inspect serverem.

Protokoly MySQL Serveru

ESET\Inspect Server\My SQL\EEI.err

Protokol výpisu chyb MySQL Serveru používaného ESET Inspect serverem.

ESET Full Disk Encryption

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Protokoly EFDE

EFDE\AIS\Logs\*.*

EFDE\Core\*.log

Exportované protokoly (AIS a jádro) z aplikace ESET Full Disk Encryption.

Licenční údaje EFDE

EFDE\AIS\Licesne\*.*

Licenční soubory EFDE.

Konfigurace EFDE

EFDE\AIS\lastpolicy.dat

Obsahuje konfiguraci EFDE.

Protokoly poštovní ochrany produktu ESET (ESET Mail Security for Exchange, ESET Mail Security for Domino)

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Protokol antispamové ochrany

ESET\Logs\Email\spamlog.dat

Protokol antispamové ochrany produktu ESET v binárním formátu.

Protokol greylistingové ochrany

ESET\Logs\Email\greylistlog.dat

Protokol greylistingové ochrany produktu ESET v binárním formátu.

Protokol SMTP ochrany

ESET\Logs\Email\smtpprot.dat

Protokol SMTP ochrany produktu ESET v binárním formátu.

Protokoly ochrany poštovního serveru

ESET\Logs\Email\mailserver.dat

Protokoly ochrany poštovního serveru produktu ESET v binárním formátu.

Diagnostický protokol zpracovaných e-mailů

ESET\Logs\Email\MailServer\*.dat

Diagnostický protokol zpracovaných e-mailů produktem ESET v binárním formátu.

Protokol antispamové ochrany*

ESET\Logs\Email\spamlog.dat

Protokol antispamové ochrany produktu ESET v binárním formátu.

Nastavení a diagnostické protokoly antispamové ochrany

ESET\Logs\Email\Antispam\antispam.*.log

ESET\Config\Antispam\*.*

Nastavení a diagnostické protokoly antispamové ochrany.

*Tato možnost je dostupná pouze v případě, kdy daný soubor existuje.

Protokoly ESET SharePoint (ESET Security for SharePoint)

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

ESET SHPIO.log

ESET\Log\ESHP\SHPIO.log

ESET diagnostický protokol vytvořený nástrojem SHPIO.exe.

Protokoly specifické k produktu – níže uvedené možnosti jsou dostupné v konkrétních produktech.

Domino (ESET Mail Security for Domino)

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Protokoly IBM_TECHNICAL_SUPPORT + notes.ini

LotusDomino\Log\notes.ini

Konfigurační soubor IBM Domino.

Protokoly IBM_TECHNICAL_SUPPORT + notes.ini

LotusDomino\Log\IBM_TECHNICAL_SUPPORT\*.*

Protokoly IBM Domino obsahující záznamy nejvýše za posledních 30 dní.

MS SharePoint (ESET Security for SharePoint)

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Protokoly MS SharePoint

SharePoint\Logs\*.log

Protokoly MS SharePoint obsahující záznamy nejvýše za posledních 30 dní.

Klíče registru SharePoint serveru

SharePoint\WebServerExt.reg

Obsahuje registrační klíče HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Web Server Extensions. Dostupné pouze v případě, kdy je nainstalován produkt ESET Security for SharePoint.

MS Exchange (ESET Mail Security for Exchange)

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Registrovaní transportní agenti MS Exchange

Exchange\agents.config

Registrovaní config file transportní agenti MS Exchange. Dostupné u Microsoft Exchange Server 2007 a novějších.

Registrovaní transportní agenti MS Exchange

Exchange\sinks_list.txt

Výpis registrovaných posluchačů událostí (sinks) MS Exchange. Dostupné na Microsoft Exchange Server 2000 a 2003.

MS Exchange EWS protokoly

Exchange\EWS\*.log

Sesbírané protokoly EWS Exchange serveru.